Probleme mit Spamhaus.org

Burcher

New Member
Hallo,

wir haben einen VServer. Der Kollege der ihn installiert hat ist leider nicht mehr verfügbar.
Nun habe ich das Problem dass dieser Server immer wieder bei SPAMHAUS auf der XBL landet.

Das System ist ein Debian, noch weis ich leider nicht welcher Mailserver darauf läuft. Zusätzlich zum Mailserver haben wir noch einem Mailman installiert. Sobald über eine Liste des Mailmans gesendet wird steht die IP wieder auf der Liste. Die 2 Listen sind nicht besonders groß eine mit 20 Mitgliedern und eine andere mit 6 Mitgliedern.

Daneben läuft noch eine MySQL Datenbank, ein Dokuwiki und ein phpBB2 Forum.

Hier ein Auszug aus dem Mail.log. Ungefähr zu der Zeit wo die IP mal wieder eingetragen wurde.

Code:
Sep 14 17:43:54 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 17:43:54 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 17:43:54 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:84.172.97.82], protocol=IMAP
Sep 14 17:43:55 85-10-218-238 imapd: Connection, ip=[::ffff:84.172.97.82]
Sep 14 17:43:55 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 17:43:55 85-10-218-238 authdaemond: authmysql: trying this module
Sep 14 17:43:55 85-10-218-238 authdaemond: SQL query: SELECT username., crypt, clear, uid, gid, pop, "", "", realname, "" FROM users WHERE usernam$
Sep 14 17:43:55 85-10-218-238 authdaemond: password matches successfully
Sep 14 17:43:55 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 17:43:55 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 17:43:55 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:84.172.97.82], protocol=IMAP
Sep 14 17:44:43 85-10-218-238 imapd: LOGOUT, [email protected], ip=[::ffff:84.172.97.82], headers=0, body=0, rcvd=2369, sent=16128, $
Sep 14 17:44:43 85-10-218-238 imapd: LOGOUT, [email protected], ip=[::ffff:84.172.97.82], headers=0, body=0, rcvd=42, sent=776, time$
Sep 14 17:49:54 85-10-218-238 imapd: TIMEOUT, [email protected], ip=[::ffff:89.244.179.112], headers=0, body=0, rcvd=683, sent=4511,$
Sep 14 17:54:38 85-10-218-238 imapd: Connection, ip=[::ffff:89.244.179.112]
Sep 14 17:54:38 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 17:54:38 85-10-218-238 authdaemond: authmysql: trying this module
Sep 14 17:54:38 85-10-218-238 authdaemond: SQL query: SELECT username., crypt, clear, uid, gid, pop, "", "", realname, "" FROM users WHERE usernam$
Sep 14 17:54:38 85-10-218-238 authdaemond: password matches successfully
Sep 14 17:54:38 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 17:54:38 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 17:54:38 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:89.244.179.112], protocol=IMAP
Sep 14 17:59:34 85-10-218-238 imapd: LOGOUT, [email protected], ip=[::ffff:89.244.179.112], headers=0, body=0, rcvd=269, sent=3276, $
Sep 14 18:14:01 85-10-218-238 imapd: Connection, ip=[::ffff:84.172.97.82]
Sep 14 18:14:10 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 18:14:10 85-10-218-238 authdaemond: authmysql: trying this module
Sep 14 18:14:10 85-10-218-238 authdaemond: SQL query: SELECT username., crypt, clear, uid, gid, pop, "", "", realname, "" FROM users WHERE usernam$
Sep 14 18:14:10 85-10-218-238 authdaemond: password matches successfully
Sep 14 18:14:10 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 18:14:10 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 18:14:10 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:84.172.97.82], protocol=IMAP
Sep 14 18:14:10 85-10-218-238 imapd: Connection, ip=[::ffff:84.172.97.82]
Sep 14 18:14:11 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 18:14:11 85-10-218-238 authdaemond: authmysql: trying this module
Sep 14 18:14:11 85-10-218-238 authdaemond: SQL query: SELECT username., crypt, clear, uid, gid, pop, "", "", realname, "" FROM users WHERE usernam$
Sep 14 18:14:11 85-10-218-238 authdaemond: password matches successfully
Sep 14 18:14:11 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 18:14:11 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 18:14:11 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:84.172.97.82], protocol=IMAP
Sep 14 18:14:58 85-10-218-238 imapd: DISCONNECTED, [email protected], ip=[::ffff:84.172.97.82], headers=0, body=0, rcvd=2356, sent=1$
Sep 14 18:14:58 85-10-218-238 imapd: DISCONNECTED, [email protected], ip=[::ffff:84.172.97.82], headers=0, body=0, rcvd=29, sent=709$
Sep 14 18:21:15 85-10-218-238 imapd: Connection, ip=[::ffff:89.244.179.112]
Sep 14 18:21:18 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 18:21:18 85-10-218-238 authdaemond: authmysql: trying this module
Sep 14 18:21:18 85-10-218-238 authdaemond: SQL query: SELECT username., crypt, clear, uid, gid, pop, "", "", realname, "" FROM users WHERE usernam$
Sep 14 18:21:18 85-10-218-238 authdaemond: password matches successfully
Sep 14 18:21:18 85-10-218-238 authdaemond: authmysql: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, addr$
Sep 14 18:21:18 85-10-218-238 authdaemond: Authenticated: sysusername=<null>, sysuserid=102, sysgroupid=102, homedir=/fachschaft-hska.de/kontakt, $
Sep 14 18:21:18 85-10-218-238 imapd: LOGIN, [email protected], ip=[::ffff:89.244.179.112], protocol=IMAP
Sep 14 18:44:17 85-10-218-238 imapd: Connection, ip=[::ffff:84.172.97.82]
Sep 14 18:44:26 85-10-218-238 authdaemond: received auth request, service=imap, authtype=login
Sep 14 18:44:26 85-10-218-238 authdaemond: authmysql: trying this module

Hier noch ein Auszug aus der Mail.err
Sep 15 06:25:08 85-10-218-238 exim4: ALERT: exim paniclog /var/log/exim4/paniclog has non-zero size, mail system possibly broken

Leider bin ich in der Materie Linux noch nicht zu bewandert. Könnt ihr mir helfen?
 
Last edited by a moderator:
Hallo,

es ist ein exmin 4 Server. Hier das Log.
Code:
2008-09-15 16:57:45 1Kf783-0007Io-EN Message is frozen
2008-09-15 16:57:45 1KekeW-0006h3-Oo Message is frozen
2008-09-15 16:57:45 End queue run: pid=31770
2008-09-15 17:02:34 1KfFb0-0008GT-0i <= [email protected] H=moutng.kundenserver.de [212.227.126.177] P=esmtp S=1451 id=48CE7349.8030504@$
2008-09-15 17:02:34 1KfFb0-0008GT-0i => /fachschaft-hska.de/kontakt/Maildir <[email protected]> R=virtual_domains T=virtual_delivery
2008-09-15 17:02:34 1KfFb0-0008GT-0i Completed
2008-09-15 17:19:54 no IP address found for host 168.48.89.189.cliente.interjato.com.br (during SMTP connection from [189.89.48.168])
2008-09-15 17:19:56 H=(myfirstmail.com) [189.89.48.168] F=<[email protected]> temporarily rejected RCPT <[email protected]>: $
2008-09-15 17:19:57 unexpected disconnection while reading SMTP command from (myfirstmail.com) [189.89.48.168]
2008-09-15 17:27:45 Start queue run: pid=31803
2008-09-15 17:27:45 1Kf783-0007Io-EN Message is frozen
2008-09-15 17:27:45 1KekeW-0006h3-Oo Message is frozen
2008-09-15 17:27:45 End queue run: pid=31803
2008-09-15 17:40:18 no IP address found for host ppp48.stat107.pacific.net.ph (during SMTP connection from [210.23.107.48])
2008-09-15 17:40:20 H=(ppp48.stat107.pacific.net.ph) [210.23.107.48] F=<[email protected]> temporarily rejected RCPT <fsi@fachschaft-$
2008-09-15 17:40:20 H=(ppp48.stat107.pacific.net.ph) [210.23.107.48] F=<[email protected]> temporarily rejected RCPT <fsi-owner@fachs$
2008-09-15 17:42:17 no IP address found for host 28-55-112-92.pool.ukrtel.net (during SMTP connection from [92.112.55.28])
2008-09-15 17:44:33 no host name found for IP address 77.51.67.105
2008-09-15 17:44:35 H=([77.51.67.105]) [77.51.67.105] F=<[email protected]> temporarily rejected RCPT <[email protected]>: greyliste$
2008-09-15 17:47:29 H=ppp91-76-81-224.pppoe.mtu-net.ru (homecomp) [91.76.81.224] F=<[email protected]> temporarily rejected RCPT <mailman@fachsch$
2008-09-15 17:57:45 Start queue run: pid=31848
2008-09-15 17:57:45 1Kf783-0007Io-EN Message is frozen
2008-09-15 17:57:45 1KekeW-0006h3-Oo Message is frozen
2008-09-15 17:57:45 End queue run: pid=31848
2008-09-15 17:58:53 1KfGTV-0008Hn-O7 <= [email protected] H=localhost (85-10-218-238.clients.your-server.de) [127.0.0.1] P=esmtp $
2008-09-15 17:58:53 1KfGTV-0008Hp-RM <= [email protected] H=localhost (85-10-218-238.clients.your-server.de) [127.0.0.1] P=esmtp $
2008-09-15 17:58:54 1KfGTV-0008Hn-O7 ** [email protected] R=dnslookup T=remote_smtp: SMTP error from remote mail server after initial connection: ho$
2008-09-15 17:58:54 1KfGTW-0008Ht-0f <= <> R=1KfGTV-0008Hn-O7 U=Debian-exim P=local S=3329
2008-09-15 17:58:54 1KfGTV-0008Hn-O7 Completed
2008-09-15 17:58:54 1KfGTV-0008Hp-RM => /fachschaft-hska.de/kontakt/Maildir <[email protected]> R=virtual_domains T=virtual_delivery
2008-09-15 17:58:54 1KfGTV-0008Hp-RM Completed
2008-09-15 17:58:54 1KfGTW-0008Ht-0f => vorkurs <[email protected]> R=mailman_router T=mailman_transport
2008-09-15 17:58:54 1KfGTW-0008Ht-0f Completed
2008-09-15 18:01:11 1KfGVi-0008I2-VM <= [email protected] H=mail.gmx.net [213.165.64.20] P=smtp S=1720 [email protected]
2008-09-15 18:01:11 1KfGVi-0008I2-VM => /fachschaft-hska.de/kontakt/Maildir <[email protected]> R=virtual_domains T=virtual_delivery
2008-09-15 18:01:11 1KfGVi-0008I2-VM Completed
2008-09-15 18:02:56 1KfGXQ-0008I5-5v <= [email protected] H=i59f4b519.versanet.de ([192.168.178.21]) [89.244.181.25] P=esmtpa A=fixed_cra$
2008-09-15 18:02:56 1KfGXQ-0008I5-5v ** [email protected] <[email protected]> R=dnslookup T=remote_smtp: SMTP error from remote mail serve$
2008-09-15 18:02:56 1KfGXQ-0008I8-CI <= <> R=1KfGXQ-0008I5-5v U=Debian-exim P=local S=2097
2008-09-15 18:02:56 1KfGXQ-0008I5-5v Completed
2008-09-15 18:02:56 1KfGXQ-0008I8-CI => /fachschaft-hska.de/kontakt/Maildir <[email protected]> R=virtual_domains T=virtual_delivery
2008-09-15 18:02:56 1KfGXQ-0008I8-CI Completed
2008-09-15 18:27:45 Start queue run: pid=31918
2008-09-15 18:27:45 1Kf783-0007Io-EN Message is frozen
2008-09-15 18:27:45 1KekeW-0006h3-Oo Message is frozen
2008-09-15 18:27:45 End queue run: pid=31918
2008-09-15 18:33:41 H=driver3891.dialup.corbina.ru (HOME-PC) [78.107.238.142] F=<[email protected]> temporarily rejected RCPT <fsi@fachscha$
2008-09-15 18:33:41 H=driver3891.dialup.corbina.ru (HOME-PC) [78.107.238.142] F=<[email protected]> temporarily rejected RCPT <fsi-owner@fa$
2008-09-15 18:46:25 H=ppp85-141-117-117.pppoe.mtu-net.ru (komp) [85.141.117.117] F=<[email protected]> temporarily rejected RCPT <kontakt@f$
2008-09-15 18:52:27 no host name found for IP address 212.35.74.167
2008-09-15 18:52:29 H=([212.35.74.167]) [212.35.74.167] F=<[email protected]> temporarily rejected RCPT <[email protected]>: gre$
2008-09-15 18:57:45 Start queue run: pid=31976
 
Hallo Stefan! ;)

Laut MTA Banner wird Exim 4.63 verwendet, also der Default-MTA von Debian.

Sobald über eine Liste des Mailmans gesendet wird steht die IP wieder auf der Liste.
Vielleicht hat einer der Empfänger eine etwas seltsame Auffassung von Spamabwehr. Das lässt sich allerdings nur nach näherer Analyse genauer sagen.

Hier ein Auszug aus dem Mail.log. Ungefähr zu der Zeit wo die IP mal wieder eingetragen wurde.
Exim loggt nach /var/log/exim4/, schau da mal nach. Außerdem sollte der HELO-Name, mit dem Exim sich meldet mal angepasst werden. Das kann durchaus mit ein Faktor sein, weshalb die IP-Adresse gelistet wird.

Gruß
joschi ;)
 
Hallo joschi,

Exim loggt nach /var/log/exim4/, schau da mal nach. Außerdem sollte der HELO-Name, mit dem Exim sich meldet mal angepasst werden. Das kann durchaus mit ein Faktor sein, weshalb die IP-Adresse gelistet wird.
danke für die Schnell antwort. Den log habe ich dir oben online gestellt. Hatte ihn erst später gefunden.

Wie kann ich den den HELO namen anpassen und wo steht er bitte?
 
Wie kann ich den den HELO namen anpassen und wo steht er bitte?
Der HELO-Name wird u. a. beim MTA-Banner angezeigt:
Code:
220 85-10-218-238.clients.your-server.de ESMTP Exim 4.63 Mon, 15 Sep 2008 21:40:06 +0200
Statt 85-10-218-238.clients.your-server.de (was vermutlich auch als Hostname für das System gesetzt ist) sollte dort eher mail.fachschaft-hska.de stehen. Das kann in der exim.conf explizit mit primary_hostname gesetzt werden.
 
Statt 85-10-218-238.clients.your-server.de (was vermutlich auch als Hostname für das System gesetzt ist) sollte dort eher mail.fachschaft-hska.de stehen. Das kann in der exim.conf explizit mit primary_hostname gesetzt werden
Ich habe mal nach einer exmin4.conf gesucht aber ich finde sie nicht nur eine exmin4.conf.template.

Kann es sein dass der Kollege das Ding nur installiert hat?
 
In Debian wird, im Gegensatz zu allen anderen Distributionen, eine aufgeteilte Exim-Konfiguration benutzt. Davon kann man halten, was man will (z. B. Abstand).

Der genaue Aufbau wird in /usr/share/doc/exim4-base/README.Debian.gz und /usr/share/doc/exim4-config/README.Debian.gz beschrieben. /etc/exim4/conf.d/main/02_exim4-config_options sollte die richtige Datei sein. Du musst die Konfiguration dann wie in der README beschrieben neu generieren lassen.
 
So ich habe mal die Config angeschaut da stehen wohl mehrere Hostnamen drinnen.

Code:
# /etc/exim4/update-exim4.conf.conf
#
# Edit this file and /etc/mailname by hand and execute update-exim4.conf
# yourself or use 'dpkg-reconfigure exim4-config'
#
# Please note that this is _not_ a dpkg-conffile and that automatic changes
# to this file might happen. The code handling this will honor your local
# changes, so this is usually fine, but will break local schemes that mess
# around with multiple versions of the file.
#
# update-exim4.conf uses this file to determine variable values to replace
# the DEBCONFsomethingDEBCONF strings in the configuration template files.
#
# Most settings found in here do have corresponding questions in the
# Debconf configuration, but not all of them.
#
# This is a Debian specific file

dc_eximconfig_configtype='internet'
dc_other_hostnames='fachschaft-hska.de ; lists.fachschaft-hska.de ; 85-10-218-238.clients.your-server.de'
dc_local_interfaces=''
dc_readhost='fachschaft-hska.de'
dc_relay_domains='fachschaft-hska.de ; localhost ; 85-10-218-238.clients.your-server.de'
#dc_relay_domains=${lookup mysql{RELAY_DOMAINS}}
dc_minimaldns='false'
dc_relay_nets='127.0.0.1'
#dc_relay_nets=''
dc_smarthost='smtp.1und1.de'
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname='true'
#dc_hide_mailname=''
dc_mailname_in_oh='true'

#dc_localdelivery='cyrus_delivery'
dc_localdelivery='mail_spool'

Ist das so richtig?
 
HI,

da wir das System brauchen will ich ganz vorsichtig sein. Wenn das MTA-Tag nicht stimmt reicht es wenn ich oben über all das
85-10-218-238.clients.your-server.de'
heraus nehme?
 
Last edited by a moderator:
Prinzipiell ja und danach eben die Konfiguration neu generieren lassen.

Allerdings frage ich mich, weshalb da ein Relayhost von 1&1 benutzt wird...
 
Wie schon gesagt die Konfiguration stammt ja nicht vom mir. Nur ich bin der jeniger der es jetzt macht.

In der Hostname und der Hosts stand ebenfalls der Falsche Name. Habs dort geändert nun geht es. Zumindest bis jetzt.

Danke für die Hilfe.
 
Back
Top